Между юни 2022 г. и май 2023 г. над 101 100 компрометирани идентификационни данни за акаунти в OpenAI ChatGPT са попаднали на незаконни пазари в тъмната мрежа, като само в Индия са откраднати 12 632 идентификационни данни.

Удостоверенията са открити в логове на крадци на информация, предоставени за продажба в киберпрестъпния ъндърграунд, съобщи Group-IB в доклад, споделен с The Hacker News.

„Броят на наличните логове, съдържащи компрометирани акаунти в ChatGPT, достигна пик от 26 802 през май 2023 г.“, заяви компанията със седалище в Сингапур. „В Азиатско-тихоокеанския регион се наблюдава най-висока концентрация на ChatGPT удостоверения, предлагани за продажба през последната година.“

Сред другите държави с най-голям брой компрометирани пълномощни за ChatGPT са Пакистан, Бразилия, Виетнам, Египет, САЩ, Франция, Мароко, Индонезия и Бангладеш.

Допълнителен анализ разкри, че по-голямата част от логовете, съдържащи акаунти в ChatGPT, са били нарушени от известния крадец на информация Raccoon (78 348), следван от Vidar (12 984) и RedLine (6 773).

Крадците на информация са станали популярни сред киберпрестъпниците заради способността им да отвличат пароли, бисквитки, кредитни карти и друга информация от браузъри и разширения на портфейли за криптовалути.

„Логовете, съдържащи компрометирана информация, събрана от крадците на информация, се търгуват активно на пазарите в тъмната мрежа“, казва Group-IB.

„Допълнителната информация за логовете, налична на такива пазари, включва списъци с домейни, открити в логовете, както и информация за IP адреса на компрометирания хост.“

Обикновено предлагани на базата на абонаментен ценови модел, те не само са понижили летвата за киберпрестъпления, но и служат като канал за осъществяване на последващи атаки с използване на отмъкнатите идентификационни данни.

„Много предприятия интегрират ChatGPT в оперативния си поток“, казва Дмитрий Шестаков, ръководител на отдела за разузнаване на заплахи в Group-IB.

„Служителите въвеждат секретна кореспонденция или използват бота за оптимизиране на патентован код. Като се има предвид, че стандартната конфигурация на ChatGPT запазва всички разговори, това би могло по невнимание да предложи на  заплахите съкровищница от поверителна информация, ако получат идентификационни данни за акаунта.“

За да се намалят подобни рискове, се препоръчва потребителите да следват подходящи практики за хигиена на паролите и да подсигуряват акаунтите си поне с двуфакторно удостоверяване (2FA), за да предотвратят атаки за превземане на акаунти.

Разработката идва на фона на продължаваща кампания за зловреден софтуер, която използва фалшиви страници на OnlyFans и примамки със съдържание за възрастни, за да достави троянски кон за отдалечен достъп и устройство за кражба на информация, наречено DCRat (или DarkCrystal RAT), модифицирана версия на AsyncRAT.

„В наблюдаваните случаи жертвите са били подмамвани да изтеглят ZIP файлове, съдържащи VBScript loader, който се изпълнява ръчно“, казват изследователите от eSentire, като отбелязват, че дейността е в ход от януари 2023 г.

„Конвенцията за именуване на файловете предполага, че жертвите са били примамвани с помощта на явни снимки или съдържание на OnlyFans за различни актриси от филми за възрастни.“

Тя следва и откриването на нов VBScript вариант на зловреден софтуер, наречен GuLoader (известен още като CloudEyE), който използва примамки на данъчна тематика, за да стартира PowerShell скриптове, способни да изтеглят и инжектират Remcos RAT в легитимен процес на Windows.

„GuLoader е силно уклончив зареждащ зловреден софтуер, който обикновено се използва за доставяне на крадци на информация и инструменти за отдалечено администриране (RAT)“, заяви канадската компания за киберсигурност в доклад, публикуван по-рано този месец.

„GuLoader използва инициирани от потребителя скриптове или файлове с преки пътища, за да изпълни множество кръгове от силно замаскирани команди и криптиран шелкод. Резултатът е резидентен в паметта полезен товар на зловреден софтуер, работещ в легитимен процес на Windows.“